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La prgsente invention concerne un algorithme 
d' exponentiation modulaire anti SPA, de 
1' anglais " Simple Power Attack " dans un 
cotnposant Slectronigue mettant en oeuvre un 
5 algorithme de chiffrement li cl6 publigue. 

Les caractSristiques des algorithmes de cryptographic a 
cle publigue sont connus : calculs ef fectues , 
parametres utilises. La seule inconnue est la cle 

10 priv§e contenue en memoire programme. Toute la 
securite de ces algorithmes de cryptographic tient dans 
cette cle privSe contenue dans la carte et inconnue du 
monde exterieur de cette carte, Cette cle priv6e ne 
peut §tre deduite de la seule connaissance du meissage 

15 appligue en entree et du message chiffre foumi en 
retour ou de la connaissance de la cl€ publigue. 
Or il est apparu que des attagues externes, 
bashes sur les consommations de courant ou une 
analyse de consommation en courant lorsgue le 

20 microprocesseur d'une carte est en train de 
derouler 1' algorithme de cryptographic pour 
signer un message, dechiffrer un message, 
permettant a des tiers mal intentionnes de 
trouver la cl€ privee contenue dans cette carte . 

25 Ces attagues sont appelees attagues SPA, 
acronyme anglo-saxon pour Single Power Analysis. 
Le principe de ces attagues SPA repose sur le 
£ait gue la consommation de courant du 
microprocesseur executant des instructions varie 

30 scion la donnee manipulSe. 

Notamment, guand une instruction executSe par le 
microprocesseur nScessi.te une manipulation d'une 
donnee bit par bit, on a deux profils de courant 
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dif f^rents selcn que ce bit vaut l • ou 0 " . 
Typiquement , si le microprocesseur manipule 
un * 0 , on a a cet instant d' execution une 
premiere amplitude du courant consomm^ et si le 
5 microprocesseur manipule un " 1 , on a* une 
deuxieme amplitude du courant consomme, 
differente de la premiere. 

Ainsi I'attaque SPA exploite la difference du 
profil de consommation en .courant dans la carte 

10 pendant 1' execution d'une instruction suivant la 
valeur du bit manipule . D' une maniere 
simplifiee, la conduite d'une attaque SPA 
consiste S identifier une ou des p^riodes 
particulieres du d^roulement de I'algorithme 

15 comprenant 1' execution d'au moins une 
instruction manipulant des donnSes bit par bit 
et a distinguer deux profils de consommktion de 
courant differents, I'un correspondant a la 
manipulation d'un bit 6gal a 0 " et 1' autre 

20 correspondant a un bit egal k * 1 L' analyse 

s'effectue sur une courbe ou §ventuellement sur 
n courbes du meme d#roulement de I'algorithme 
moyenne pour supprimer le bruit. 

25 L' exponentiation modulaire est defini par la 
formule math^matique suivante : 
R= mod N, 

dans laquelle : 

30 

Y est un exposant qui a une taille de k bits ; 
N est un modulus qui a une taille de k' bits. 
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X est une variable connue qui a une taille de 
k'' bits ; 

R est le resultat de 1' operation 
d' exponentiation modulaire et a une taille de k' 
5 bits. 

On peut utiliser les algorithmes classiques A ou 
B connus et d^crits ci-dessous. 

L'algorithme classique A utilise pour le calcul 
10 de la formule math6mat ique ci dessus mentionnee 
est le suivant : 

- On initialise R a 1 : R=l ; 

- On parcours la representation binaire de Y 
du bit de poids fort note Y(k-l) vers le bit 

15 de poids faible Y(0); 

pour chaque bit Y{i), i variant de (k-1) a 
0, on effectue 1' operation supplementaire : 
R=R2 . 

Si le bit Y(i) est 6gal a 1, une 6tape 
20 supplementaire est exgcutee qui consiste.en 

1' operation : 

R=R*X. 

Si par exemple Y est 6gal ^5, sa representation 
25 binaire est : 101 ; 

Si on applique I'algorithme ci-dessus : 

- pour le premier bit [Y(2)=ll, on effectue 
R=R* suivi de 1' operation : R*X=X, soit le 
rSsultat R=X ; 

30 - pour le second bit [Y(1)=:0], on effectue 

1' operation R=R^ soit le resultat R-X^ ; 

pour le troisieme bit [Y(0)=1], on 
effectue 1' operation R=(R2)2 suivi de 
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10 



1' operation R=R*X soit le resultat : 

Pour rappel, on reprend . tou jours le R 
precedent . 

Bien sur, toutes les operations mathematigues 
d§crites pour I'exemple Y est Sgal h 5 sont 
effectuees modulo N ce qui permet de travailler 
ave.c un registre r d'une taille de k' bits. 



L'algorithme classigue B utilise pour le calcul 
de la formule mathematigue ci-dessus mentionnee 
est le suivant : 

on initialise R I I et Z X : 
15 R=l et Z=X, Z etant une variable : 

on parcours la representation binaire 

de Y du bit de poids faible Y(0) vers 

le bit de poids fort Y(k-l) ; 

pour chague bit Y(i), i variant de 0 
20 a (k-1) , on effectue I'operation 

supplimentaire : Z^Z^ , guelgue soit i 

sup^rieur ^ 0 ; 

si le bit Y(i) est ^gal k 1, une 
etape supplementaire est exScutee gui 
25 consiste en I'operation : R=R*Z. 

Si par exemple Y est egal 5, sa representation 
binaire est 101. 

Si on appligue 1 ' algorithme ci-dessus : 

pour le premier bit, on a Y(0)=1 ; on 
30 n' effectue pas I'operation Z^ (car 

i=0) et on effectue I'operation : 

R = R*Z=:X. 
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pour le second bit, on a [Y(1)]=0, on 
effectue I'opfiration 2*=X' ; R est 
inchange car Y(1)=0 ; 

pour le troisidme bit [Y(2)=l], on 
5 effectue I'operation : Z=Z2=x* et 

comme Y(2) est egal k 1, on fait 
aussi 1' operation R=R*Z et on obtient 
done X* . 

Pour rappel, on reprend toujours le R et le Z 

10 precedent. 

Bien sur, toutes les operations mathSmatiques 
decrites pour I'exemple Y est Sgal a 5 sont 
ef features modulo N ce qui permet de travailler 
avec des registres r et z d'une taille de k' 

15 bits. 

Cependant, cet algorithme B est rarement utilise 
dans un composant electronique de type carte 
puce car il necessite plus de mSmoire (registre 
supplSmentaire z d'une taille de k' bits) . 

20 

On constate que, sur les algorithmes classiques 
A et B expliques ci-dessus, en fonction de 
chaque bit de Y on effectue une operation si le 
bit est 6gal a 0 et deux operations si le bit 

25 est egal a 1. Ces algorithmes A et B sont 
utilises pour le RSA. Pour rappel, le systeme de 
chiffrement RSA est le systeme de chiffrement a 
cle public le plus utilise, II peut §tre utilise 
comme precede de chiffrement ou. comme precede de 

30 signature. Le systdme de chiffrement RSA est 
utilise dans les cartes a puce pour certaines 
applications de celles-ci. Les applications 
possibles de RSA sur une carte a puce sont 
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I'accSs & des banques de donnSes, des 
applications bancaires, des applications de 
paiements ^ distance, comme par exemple la 
television a peage, la distribution d' essence ou 
5 le paiement de peages d'autoroute. Cette liste 
d' applications est bien sClr non exhaustive. 

Le principe du systeme de chiffrement RSA 
est le suivant- II peut etre divise en trois 
10 parties distinctes qui sont : 

1) La generation de la paire de cles RSA ; 

2) Le chiffrement d'un message clair en un 
message chiffrS, et 

3) Le dichif f rement d'un message chiffr§ en un 
15 message clair. 

Une operation RSA de chiffrement consiste en ce 
qu'on calcule un chiffr6 c qui est §gal k un 
message M* mod N represent^ par 1' operation :C= 
mod N, dans laquelle e est I'exposant publique 

20 de chiffrement et N est le modulus. 

Une operation RSA de dechif f rement consiste en 
ce qu'on calcule un message M' qui est.egal k M 
si on dechiffre de maniere juste et est 
represente par 1' operation: 

25 M' = C** mod N, 

dans laquelle d est I'exposant prive de 
dechif f rement et N le modulus. 

On constate que le RSA est directement une 
operation d' exponentiation modulaire. 
30 II s'avdre que d est un element secret puisque 
prive ; on constate done que d est equivalent k 
Y de I'algorithme classique A ou B, algorithmes 
decrits au debut de la description- Cependant, 
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ces algorithmes utilises pour le RSA peuvent 
etre attaques par simple etude de la 
consommat ion de courant du composant 
electronique mettant en oeuvre 1' invention. 
5 En effet, si on considere que la signature S 
d'une operation pour 1 ' algorithme A et Z' 

pour 1' algorithme B appel^e 

operation square notee S(SQU), est 

differente de la signature S de 1' operation R*X 

10 pour 1' algorithme A et Z*R pour 1' algorithme B, 
appel6e " operation multiply " , notee S(MUL), 
alors la consommat ion de courant, lors de 
1' execution de 1' algorithme A ou B d^crits 
precSdemment , consiste en une succession de 

15 signatures S(SQU) et S(MUL) directement 
dependant e de Y. 

Par exemple, dans le cas de 1' algorithme A, pour 
Y egal k S, on aura la succession suivante de 
signatures : 

20 [S(SQU), S(MUL)], [S(SQU)], [S (SQU) , S (MUL) ] , 
dans laquelle succession les signatures [S(SQU)] 
suivie de [S (MUL) ] correspond a un bit egal h 1 
et la signature [S(SQU)] suivi de la signature 
[S(SQU)] correspond ^ un bit egal ^ 0. 

25 Simplement en regardant la consommation de 
courant . si on sait differencier S(SQU) de 
S(MUL), on peut retrouver 1 ' integrality de la 
valeur Y. Si on applique cette attaque au RSA 
decrit ci-dessus, on retrouve Y=d qui est 

30 I'exposant priv# de d6chif f rement qui doit 
rester secret par definition ce qui est done 
tres g§nant . 
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La pr^sente invention permet de supprimer cet 
inconvenient ma j eur . 

Cependant, pour bien insister sur 1 ' inventivite 
de la pr6sente invention, il est utile de 
5 decrire un exemple d' amelioration des 
algorithmes A et B pourtant def aillants . 
Dans I'algorithme classique A ou B, on considSre 
que le composant qui met en oeuvre 1' invention 
dispose d'une operation optimisee appel^e 
10 Square not^e SQU qui calcule de maniere 

plus efficace que 1' operation Multiply " , 
not6e MUL- 

La premidre parade contre I'attaque consiste 
utiliser uniquement 1' operation MUL. Dans ce 

15 cas, il ne subsiste plus que la signature de 
1' operation Multiply " ce qui ne permet plus 
de distinguer une quelconque information 
permettant de remonter a la valeur Y. Plus 
precis6ment, 1' operation mathematique 

20 Multiply " a deux operandes V et W et est 
d^finie par la formule : 
MUL(V,W) = V*W. 

En theorie , on se protege ma is dans la pratique 
on utilise I'op^ration MUL(V,V) ou I'operation 
25 MUL(V,W) ; il y a done encore une difference 
dans la consommcition de courant puisque les 
operandes sont differents. Il ne s'agit pas 
d'une solution fiable. 



30 La prSsente invention consiste au calcul de 
1 ' exponentiation modulaire par le present 
algorithme et permet d'eviter 1 ' inconvenient 
cite juste ci-dessus. 
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On utilise deux registres Ri et R2 et un 
indicateur I qui est egal h zero, " 0 
signifiant que le r^sultat se trouve dans le 
registre Ri ou qui est egal a un, « 1 " , 
5 signifiant que le r^sultat se trouve dans le 
registre R2 ; ceci permet d'indiquer dans quel 
registre se trouve le bon resultat. 

L' algorithme de 1' invention qui reprend 
10 I'algorithme A consiste h s'ex6cuter par les 
etapes d' initialisation suivantes a et b et les 
Stapes de calcul c, d , e et f qui sont 
effectuees k fois, k etant la taille de Y, 
Stapes decrites ci-dessous: 
15 a) On initialise Ri=l ; 

b) On initialise 1=0 ; 

Pour chaque bit Y(i) de la representation 
binaire de Y, on effectue les quatre Stapes c, 
d, e et f suivantes de " 0 " a « k-1 " ; on 
20 parcours la representation binaire de Y du bit 
de poids fort Y(k-l) vers le bit de poids 
faible Y(0) ; 

c) Si 1=0, on effectue I'operation R2= (Ri)^ ; 

Si 1=1, on effectue I'operation Ri= (R2)^ ; 
25 d) On complSmente I, c'est a dire il change de 
valeur mais uniquement de 'V 0 " vers ^ 1 " ou 
de 1 " vers * 0 " ; 

e) On refait 1' operation de test sur I : 

si 1=0, on effectue I'op^ration R2= Ri*X ; 
30 si 1 = 1, on effectue 1' operation Ri= R2*X ; 

f ) Si Y(i) est egal a 1, alors on cpmplemente I ; 
si Y(i) est egal a 0, alors on garde I 
inchangS. 
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Ainsi, quelque soit la valeur de Y, on execute 
tou jours une operation de SQU et une operation 
de MUL. On aura done k I'Stape d I'une des deux 
signatures suivantes : 
5 S (R2 = SQU(Ri) ) ou S (Ri = SQU(R2) ) . 

On aura aussi a I'etape f une des deux 
signatures suivantes : S (Ri=MUL (R2 , X) ) ou 
S (R2=MUL(Ri,X) ) . 

Les signatures de I'etape c sont gquivalentes 
10 car elles utilisent les m§mes operandes et 
effectuent la m§me operation (SQU) 
Les signatures de l'6tape e sont gquivalentes 
car elles utilisent les mStnes op6randes et 
effectuent la meme operation (MUL) . 
15 Par consequent, il n'est plus possible de 
remonter a la valeur de Y qui sera une 
succession d' operations (SQU) et (MUL), 
L' application de la presente invention permet de 
• calculer une exponentiation modulaire de maniere 
20 s6curis6e dans un composant electronique mettant 
en (Buvre un algorithme S cl6 publique 
nScessitant un algorithme d' exponentiation 
modulaire. 

L' algorithme de la presente invention qui 
25 reprend 1' algorithme classique B consiste a 
s'executer par les Stapes d' initialisation 
suivantes a et b et les etapes de calcul 
suivantes c, d et e qui sont effectu6es k fois, 
k gtant la taille de Y: 
30 a) on initialise Ri=l et Z=X ; 
b) on initialise I==0 ; 

Pour chaque bit, de Y(i) de la representation 
binaire de Y, on effectue les trois etapes c, d 
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et e , i variant de « 0 " a * k-1 * ; on 
parcours la representation binaire de Y du bit 
de poids faible Y{0) vers le bit de poids fort 
Y(k-l) ; 

5 c) on effectue 1 'operation : Z:=Z» ; 

d) si 1=0, on effectue 1' operation : R2:=Ri*Z ; 
si 1=1, on effectue 1' operation : Ri:=R2*Z ; 

e) si Y(i)=0, alors on garde I inchange et si 
Y(i)=l, alors on complemente I. 

10 Ainsi, quelque soit la valeur de Y, on execute 
tou jours une operation de SQU et une operation 
MUL. On aura done i I'^tape c la signature 
suivante : S(SQU). 

On aura ^ I'gtape d une des deux signatures 
15 suivantes : S (Ri=MUL (Ra, Z) ) ou S (Ra^MUL (Ri , Z) ) . 
Les signatures de I'etape d sont equivalentes 
car elles utilisent les mSmes operandes et 
ef fectuent la meme operation (MUL) • 
Par consequent, il n'est plus possible de 
20 remonter a la valeur Y qui sera une succession 
d'operations (SQU) et (MUL). L' application de la 
presente invention permet de calculer une 
exponentiation modulaire de manidre securisee 
dans un composant filectronique tnettant en ceuvre 
25 un algorithme a cl€ publique necessitant un 
algorithme d' exponentiation modulaire. 

Comme exeinple de 1' invention, on utilise le DSA 
qui est une variante de 1 ' algorithme de 
30 signatures de Schnorr et ElGamal. 

Pour signer les Stapes m, les etapes suivantes 
sont rSalis^es : 
1) Generation d'un nombre aleatoire K ; 
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2) Calcul de r= (g^modp) modq 

avec g« p et g des nombres entiers publics 
connus par le monde exterieur de la carte a 
puce ; 

5 3) Calcul de s= (K*^ (H (m) +x*r ) ) raodq 

avec H() fonction de hachage et x une cle 
priv6e • 

Le couple (r,s) correspond a la signature du 
message m. 
10 On remarque que K est secret. 

L'Stape 2 consiste en partie k une 
exponentiation modulaire : 

r'=g'^modp et r=r'modq. 

15 Si 1' exponentiation modulaire est effectuee 
avec I'algorithme classique A ou B comme decrit 
precedemment ^ alors une attaque SPA permet de 
remonter a la valeur k. Connaissant k et comme 
s, m et r sont connus, I'attaquant peut calculer 

20 la cl6 secrdte x. Ainsi, il a trouv6 la cle de 
la signature et le systeme est casse. II est 
done preferable d'utiliser la presente invention 
ou sa yariante de realisation pour effectuer 
1 ' exponentiation modulaire de I'etape 2 du 

25 present exemple, 

Ainsi, dans la pr§sente invention, la mSthode 
de calcul de I'algorithme ne permettant pas de 
retrouver k par etude de la consommation de 
courant , I'attaquant ne peut pas remonter a la 

30 valeur de la cle privee x. 
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REVKNDICATIONS 

1- Algorithme d' exponentiation modulaire defini 
par la formule tnathemat ique suivante : 

5 R= mod N, 

Y §tant un exposant presentant une taille de k 
bits , 

N 6tant un modulus presentant une taille de k' 
10 bits, 

X etant une variable connue presentant une 
taille de k' ' bits ; 

R etant le resultat de 1' operation 
d' exponentiation modulaire et presentant une 
15 taille de k' bits 
et . 

comprenant des registres Rl et R2 et un 
indicateur I, algorithme caracteris^ en ce qu'il 
presente les etapes d' execution suivantes 
20 comprenant les etapes a et b, dites etapes 
d' initialisation, et les etapes o, d et e, dites 
Stapes de calcul : 

a) on initialise Ri=l et Z=X ; 

b) on initialise 1=0 ; 

25 pour chaque bit de Y(i) de la representation 
binaire de Y, on effectue les trois etapes c, d 
et e, i variant de 0 " S k-1 " ; on parcours 
done la representation binaire de Y du bit de 
poids faible Y(0) vers le bit de poids fort Y(k- 

30 1) ; 
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c) on effectue 1' operation : Zi^Z^ ; 

d) si 1=0, on effectue 1' operation : R2:=Ri*Z ; 
si 1=1, on effectue 1' operation : Rx:=R2*Z ; 

e) si Y(i)=0, alors on garde I inchangg et si 
5 Y(i)=l, alors on complfimente I. 

2- Algorithme d' exponentiation modulaire dfifini 
par la.formule mathematique suivante : 

10 R= mod N, 

Y 6tant un exposant pr^sentant une taille de k 
bits ; 

N 6tant un modulus presentant une taille de k' 
15 bits. 

X gtant une variable connue presentant une 
taille de k' ' bits ; 

R etant le r6sultat de 1' operation 
d' exponentiation modulaire presentant une taille 
20 de k' bits 
Et 

comprenant des registres Rl et R2 et un 
indicateur I, algorithme caracterise en ce qu'il 
presente les etapes d' execution suivantes 
25 comprenant les 6tapes a et b, dites etapes 
d' initialisation, et les Stapes c, d, e et f, 
dites etapes de calcul : 

a) On initialise Ri=l ; 

b) On initialise 1=0 ; 

30 Pour chaque bit Y(i) de la representation 
binaire de Y, on effectue les quatre Stapes c, 
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d, e et f suivantes, i variant de 0 " a " k- 
1 * , on parcours la representation binaire de Y 
du bit de poids fort Y{k-l) vers le bit de poids 
faible Y{0) ; 
5 c) Si 1 = 0, on effectue I'operation R2= (Ri)^ ; 

Si 1=1, on effectue 1' operation Ri= (R2)^ ; 

d) Dans les deux cas de I'Stape d, on complemente 
I, c'est k dire il change de valeur mais 
uniquement de * 0 * vers « i » ou de » i 

10 vers * 0 ; 

e) On refait I'operation de test sur I : 

si 1=0, on effectue I'opSration R2= Ri*X ; 
si 1=1, on effectue 1' operation Ri= R2*X ; 
f } Si Y(i) est egal a 1, alors on complemente I ; 
15 si Y(i) est egal a 0, alors on garde I 
inchange . 

3- Composant . electronique caracterisee en ce 
qu'il met en oeuvre I'une quelconque des 

20 revendications 1 a 2. 

4 - Composant electronique selon la revendicat ion 
2 caracterise en ce qu'il est un objet 
portable Electronique du type carte S puce. 
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5- Terminal Electronique caractErise en ce s'il 
met en oeuvre I'une quelconque des revendications 
1 k 2. 



